UPnP ، والمنافذ ، والجدران النارية ، قد يكون من الصعب جدًا توفير شيء ما من داخل شبكتك بحيث يمكن الوصول إليه أيضًا في مواقع خارجية. غالبًا ما يكون من الصعب تكوين جهاز التوجيه الخاص بك لإرسال حركة المرور الصحيحة إلى الجهاز الصحيح في شبكتك. سنبدأ مع UPnP وإعادة توجيه المنفذ.
هل تريد أن تكون قادرًا على الوصول إلى جهاز من شبكتك المنزلية ، على سبيل المثال NAS ، حتى عندما لا تكون في المنزل؟ بشكل افتراضي ، يتم تأمين شبكتك المنزلية بطريقة تجعل هذا الأمر غير ممكن فقط ، لأن الأطراف الخبيثة بخلاف ذلك يمكن أن تصل أيضًا إلى أجهزة الشبكة الخاصة بك. لذلك عليك ضبط الإعدادات بنفسك. من الضروري أن تعرف ما تفعله ، حتى لا تضعف عن غير قصد أمن شبكتك. اقرأ أيضًا: هل يمتلئ NAS لديك؟ انت تستطيع فعل ذالك.
01 طبقات الإنترنت
إذا كنت ترغب في إرسال شيء ما عبر الإنترنت من النقطة أ إلى النقطة ب ، يتم إرسال هذه البيانات عبر عدد من "الطبقات". تقدم كل طبقة دائمًا بعض الوظائف الإضافية لإرسال البيانات.
في الجزء السفلي لديك الطبقة المادية ، حيث يتم إرسال البيانات في شكل إشارات عبر الكابل أو لاسلكيًا عبر شبكة WiFi. طبقة فوقها لديك طبقة ترسل البيانات عبر الكبل أو WiFi في شكل آحاد وأصفار وتتحقق أيضًا من الأخطاء ، وتعيد إرسال البيانات إذا لزم الأمر. طبقة أخرى لديك القدرة على إرسال البيانات بين جهازي شبكة ، وهو شيء يتم عبر عنوان MAC. كل طبقة أكثر تجريدية قليلاً ، في الجزء السفلي تعمل بأحادي وأصفار مادية ، وفوق ذلك مع الحزم بين الأجهزة والعناوين. إذن لديك عدد من الطبقات ، حيث تستخدم كل طبقة دائمًا وظائف وتجريدات الطبقة أدناه.
لنفترض الآن أننا نريد إرسال النص "Hello، world!" إلى خادمنا في المنزل. تقوم طبقة الشبكة بحزم النص وتجد جهاز توجيه يمكنه أخذ الحزمة وإعادة توجيهها في طريقها إلى خادمنا. تنتقل الحزمة إلى طبقة أعمق حتى يتم تحويلها إلى إشارات مادية وتمر عبر الكابل. في النهاية ، يصل إلى خادمنا ، الذي يقرأ البيانات. افترض الآن أن الخادم يستجيب أيضًا بحزمة تقول "مرحبًا ، كمبيوتر!". تمر هذه الحزمة أيضًا عبر جميع الطبقات ، في طريقها إلى جهاز الكمبيوتر الخاص بنا. ومع ذلك، هناك مشكلة. وصلت الحزمة إلى جهاز الكمبيوتر الخاص بنا ، ولكن كيف يعرف نظام التشغيل البرنامج المخصص للحزمة؟ هناك بوابات لذلك. المنفذ ليس أكثر من صندوق بريد لبرنامج ؛ حيث يمكن لنظام التشغيل Windows أو Linux أو macOS تسليم البيانات بحيث يتمكن البرنامج المخصص للبيانات من تلقيها.
02 ميناء الشحن
إذا لم يكن لديك جدار حماية ، فسيكون الوصول إلى جميع المنافذ مفتوحًا. هذا ليس سيئًا للغاية ، لأنه طالما أنه لا يوجد برنامج يفتح منفذًا ، فلن يحدث شيء. بالإضافة إلى ذلك ، يحتوي Windows على جدار حماية مدمج خاص به. إذا قام أحد البرامج بنشر منفذ وسمح جدار الحماية بذلك ، فيمكن لأي كمبيوتر شخصي في أي مكان الاتصال بعنوان IP الخاص بك باستخدام هذا المنفذ وإرسال البيانات إليه.
هذا هو الحال من الناحية النظرية على الأقل ... من الناحية العملية ، لديك جهاز توجيه تتصل به العديد من أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة والأجهزة اللوحية. لنفترض أنك تريد إرسال البيانات إلى جهاز الكمبيوتر الخاص بك في مكان ما خارج الشبكة الخاصة بك ، فهناك مشكلة. يقوم جهاز التوجيه الخاص بك بشيء يسمى NAT أو ترجمة عنوان الشبكة. يعد هذا ضروريًا ، لأن مزود الإنترنت الخاص بك يمنحك عنوان IP واحدًا فقط لكل اتصال بالإنترنت وبواسطة عنوان IP هذا ، يمكنك توصيل جهاز واحد بالضبط بالإنترنت. يحل جهاز التوجيه هذه المشكلة من خلال كونه الوحيد المتصل مباشرة بمزودك وبالتالي اعتماد عنوان IP هذا ، ومن ثم تسليم عناوين IP إلى أجهزتك الخاصة.
لذا لنفترض أنك تريد إرسال رسالة إلى جهاز الكمبيوتر الخاص بك في المنزل من مقهى ، فلا معنى لاستخدام عنوان IP المحلي الخاص بك الذي عينه جهاز التوجيه ، لأن عنوان IP هذا له معنى داخل شبكتك فقط. في الخارج لا يشير إلى أي شيء. بدلاً من ذلك ، يمكنك استخدام عنوان IP الخارجي الخاص بك ، جنبًا إلى جنب مع المنفذ الخاص بك. المشكلة هي أن جهاز التوجيه الخاص بك يجب أن يعرف إلى أين يجب أن تذهب البيانات. باستخدام عنوان IP الخارجي والمنفذ فقط ، لا يزال جهاز التوجيه لا يعرف أي جهاز كمبيوتر أو جهاز لوحي أو هاتف ذكي مخصص للحزمة. هذا هو سبب وجود إعادة توجيه المنفذ: بهذا تشير في جهاز التوجيه إلى أنه إذا كانت البيانات موجودة على هذا المنفذ قريبًا ، فيجب إعادة توجيه هذه البيانات إلى جهاز معين.
قد تتساءل كيف لا يزال الإنترنت يعمل على شبكتك على الإطلاق. عند زيارة أحد مواقع الويب ، يتم أيضًا إرسال البيانات ذهابًا وإيابًا وتصل تلك البيانات إلى جهاز الكمبيوتر الخاص بك ، دون الحاجة إلى إعداد إعادة توجيه المنفذ. يعمل هذا ، لأن جهاز التوجيه نفسه يطبق بالفعل إعادة توجيه المنفذ للاتصالات التي أعددتها من الداخل ، بحيث تصل جميع الحزم بشكل صحيح حيث يجب أن تكون. بالمناسبة ، إعادة توجيه المنفذ بحد ذاته لا يمثل مخاطرة أمنية. يأتي هذا الخطر من الاستماع للتطبيق على هذا المنفذ. على سبيل المثال ، إذا قمت بإعادة توجيه المنفذ X إلى جهاز كمبيوتر لم تقم بتحديثه مطلقًا ، فهذه مخاطرة كبيرة بسبب الثغرات الأمنية المعروفة. لذلك من المهم دائمًا تحديث الجهاز عند إعادة توجيه منفذ إليه.
03 بنب
UPnP تعني التوصيل والتشغيل العالمي. يسمح للأجهزة الموجودة على الشبكة "برؤية" بعضها البعض. يمكن لكل جهاز الإعلان عن نفسه على الشبكة ، مما يسهل على الأجهزة الاتصال والتعاون مع بعضها البعض. تتمثل إحدى وظائف UPnP في السماح للجهاز بإعادة توجيه المنافذ ، حتى لا تضطر إلى القيام بذلك يدويًا.
لنفترض أن جهاز Xbox الخاص بك يرغب في تلقي حركة المرور على المنفذ 32400 ، فيمكن للجهاز أن يطلب ذلك تلقائيًا من جهاز التوجيه ، والذي سيقوم بعد ذلك بإنشاء القاعدة المناسبة وبالتالي إعادة توجيه كل حركة المرور على هذا المنفذ إلى جهاز Xbox الخاص بك عن طريق عنوان IP أو MAC- . ومع ذلك ، يشكل UPnP مخاطرة أمنية. المشكلة هي أن UPnP لا يستخدم أي شكل من أشكال المصادقة. يمكن للبرامج الضارة فتح المنافذ بسهولة. المشكلة هي أنه يمكن استغلال UPnP عن بعد. العديد من تطبيقات UPnP لمصنعي أجهزة التوجيه غير آمنة. في عام 2013 ، أمضت إحدى الشركات ستة أشهر في مسح الإنترنت لمعرفة الأجهزة التي تستجيب لـ UPnP. استجاب ما لا يقل عن 6900 جهاز ، 80 في المائة منها كان جهازًا منزليًا مثل طابعة أو كاميرا ويب أو كاميرا IP. لذلك نوصي بتعطيل UPnP في جهاز التوجيه الخاص بك. يمكن العثور على أهم الاستنتاجات من الدراسة في المربع "UPnP safe؟"
UPnP آمن؟
الاستنتاجات الرئيسية لدراسة سلامة UPnP التي أجرتها Rapid7.
- استجاب 2.2 بالمائة من جميع عناوين IPv4 العامة لحركة UPnP عبر الإنترنت ، أو 81 مليون عنوان IP فريد.
- 20 بالمائة من عناوين IP هذه لا تستجيب فقط لحركة مرور الإنترنت ، ولكن أيضًا ، التي يمكن الوصول إليها عن بُعد ، قدمت واجهة برمجة تطبيقات لتهيئة جهاز UPnP باستخدام!
- يستخدم 23 مليون جهاز إصدارًا ضعيفًا من libupnp ، وهي مكتبة برامج مستخدمة على نطاق واسع تنفذ بروتوكول UPnP. يمكن استغلال الثغرات الأمنية في هذا الإصدار عن بُعد ، مما يتطلب حزمة UDP واحدة فقط.